Inklusive und additive Berechtigungen

Inklusive Berechtigungen

Es gibt drei inklusive Berechtigungsstufen, die Sie Datenobjekten zuweisen können:

• Eigentümer (enthält alle inklusiven und additiven Berechtigungen)
• Datenmanager
• Teilnehmer

  Note:

  Die Berechtigung Teilnehmer erteilt automatisch den Zugriff Lesen auf ein Datenkettenobjekt. Sie können die Berechtigung ändern, um den Datenzugriff Schreiben auf Datenkettenobjekte zu erteilen, indem Sie die zulässigen Aktionen und den Eigenschaftszugriff für dieses Objekt auswählen. Informationen hierzu finden Sie unter Datenzugriff konfigurieren.

Wenn Sie einem Benutzer oder einer Gruppe eine übergeordnete Berechtigung (z.B. Eigentümer) zuweisen, umfasst diese Zuweisung alle untergeordneten Berechtigungen (Datenmanager, Teilnehmer (schreiben) und Teilnehmer (lesen)). Sie müssen einem Benutzer oder einer Gruppe nicht mehrere Berechtigungen für dasselbe Datenobjekt zuweisen.

Anwendungen und Dimensionen unterstützen alle inklusiven Berechtigungsstufen. Hierarchiesets und Knotentypen unterstützen hingegen nur die Teilnehmer-Berechtigungen. Sie können mehrere Berechtigungsstufen (wie Teilnehmer und Metadatenmanager) für Anwendungen und Dimensionen zuweisen. Informationen hierzu finden Sie unter Berechtigungen kombinieren.

Sie können die Berechtigung Teilnehmer weiter verfeinern, indem Sie den Datenzugriff auf ein Hierarchieset oder einen Knotentyp angeben. Informationen hierzu finden Sie unter Datenzugriff konfigurieren.

Additive Berechtigungen

Additive Berechtigungen ermöglichen Zugriff auf Anwendungen und Datenkettenobjekte mit höherer Granularität. Sie können eigenständig oder zusätzlich zu einer inklusiven Berechtigung zugewiesen werden.

Die additive Berechtigung, die Sie zuweisen können, lautet Metadatenmanager. Diese Berechtigung kann auf Anwendungs- oder Dimensionsebene zugewiesen werden und erlaubt Benutzern das Erstellen, Bearbeiten und Löschen sämtlicher Metadatenobjekte in einer Anwendung oder Dimension, wie Knotentypen, Hierarchiesets, Convertern, benutzerdefinierten Validierungen, Berechtigungen und Policys.

Die Berechtigung Metadatenmanager gewährt keinen Zugriff auf Daten. Benutzern mit dieser Berechtigung muss eine der inklusiven Berechtigungsstufen (wie Teilnehmer (lesen)) zugewiesen werden, damit sie Daten anzeigen können.

Die folgende Abbildung veranschaulicht die Funktionsweise der inklusiven und additiven Berechtigungsstufen. Die drei inklusiven Berechtigungen bauen aufeinander auf, wobei Teilnehmer (schreiben) den Zugriff von Teilnehmer (lesen) und Datenmanager den Zugriff von Teilnehmer (schreiben) enthält. Die Berechtigung Metadatenmanager ist additiv und enthält daher keine Berechtigung einer niedrigeren Stufe. Die Berechtigung Eigentümer enthält sämtlichen Zugriff beider Typen von Berechtigungsstufen sowie zusätzlich die Berechtigung zum Löschen von Anwendungen.

In der folgenden Tabelle sind einige häufig ausgeführte Aufgaben sowie die jeweils erforderliche Berechtigungsstufe aufgeführt:

Berechtigungen kombinieren

Sie können inklusive und additive Berechtigungen kombinieren, um den Zugriff eines Benutzers genauer zu kontrollieren. Beispiele für einige Kombinationen:

• Datenmanager und Metadatenmanager: Diese Kombination gewährt einem Benutzer Zugriff zur Ausführung der meisten Aufgaben mit Daten und Metadaten (wie das Erstellen, Aktualisieren und Löschen von Datenkettenobjekten, das Erstellen und Ausführen öffentlicher Extraktionen und das Ausführen von Importen und Exporten). Das Löschen einer Anwendung ist jedoch nicht zulässig.
• Teilnehmer (lesen) und Metadatenmanager: Diese Kombination gewährt einem Metadatenmanager Datenzugriff, sodass er Daten in Ansichtspunkten durchsuchen und validieren kann. Damit kann er beispielsweise sicherstellen, dass die von ihm erstellten Ausdrücke wie erwartet funktionieren.